应用控制策略如何配置？

截止标准版本AF8.0.69，应用控制策略支持的部署模式有：路由模式，透明模式，虚拟网线部署模式，混合模式

Ps：AF旁路部署时，设备是接收交换机的镜像数据，应用控制策略功能不生效，所以无需配置应用控制策略，且旁路模式没有应用统计

若AF做出口网关，内网上互联网场景，应用控制策略建议只放通内网到外网的any放通；外网访问内网服务器场景，建议针对特定业务端口放通，若AF做透明接入，明确网络数据端口、业务端口进行放通，若不明确，则双向放通、防止误拦截数据。并且应用控制策略全放通会影响等保测评，全端口放通有一定风险。

配置路径：

①以标准版本8.0.35-8.0.69版本操作示例：可在【策略】-【访问控制】-【应用控制策略】中新增或是复制应用控制策略

②以标准版本AF7.4-8.0.32版本操作路径示例:可在【策略】-【访问控制】-【应用控制策略】中新增或是复制应用控制策略

③以标准版本AF7.3版本操作路径示例:可在【内容安全】-【应用控制策略】中新增或是复制应用控制策略

（1）网络对象：选择需要控制的源目IP地址或者用户

（2）用户组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息

（3）Mac地址：选择需要控制的源目mac地址

（4）域名：选择需要控制的域名

注意：基于域名和mac地址的应用控制策略详细点击下方基于域名和mac的应用控制策略配置

【服务】和【应用】限制需要范围的端口协议及其应用

【时间计划】：应用控制策略生效的时间，在【对象】-【时间计划】设置对应时间计划引用针对策略进行时间限制

注意：应用控制策略默认是单向放通的，不用双向放通，正常是匹配会话进行回包放行，二次穿透环境下会被应用控制拦截回包，即便有禁止wan到lan的策略也不会导致内网无法上网，但防火墙本身的流量不受防火墙应用控制策略限制

设置应用控制策略排除IP地址：

1、在做了限制上网的策略里面把该IP从原网络对象中拿出来，使其不受限制上网策略控制

2、将该IP加入白名单内（该IP不受安全策略防护）注意：全局排除这些ip会导致所有策略对这些ip都不生效

3、AF的应用控制策略匹配顺序是从上往下，新增一条针对这个几个需要放开的IP做放行的应用控制策略，再做一条禁止上网策略位置在允许策略后面，就先匹配放行策略、再匹配禁止网段策略

①以标准版本AF7.3版本操作路径示例:在【内容安全】-【应用控制策略】中配置

②以标准版本AF7.4-8.0.69版本操作路径示例:在【策略】-【访问控制】-【应用控制策略】中配置

注意：应用控制策略最多配置4096条

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！